miércoles, 16 de noviembre de 2011

DIRECTIVAS DE GRUPOS LOCALES GPO

A continuación veremos la implementación de unas cuantas políticas de seguridad y administración en el sistema.


1. Lo primero que haremos será crear dos grupos y a cada grupo vamos a ingresarle dos usuarios.


Desde Inicio>Ejecutar>mmc vamos a traer a pantalla la consola raíz de Windows server. Para crear los grupos vamos a la opción Usuarios y grupos locales



Ahora vamos a desplegar las opciones de este menu, y en el menu grupos vamos a decirle> grupo nuevo

Los grupos que vamos a crear seran killers y timers, y dentro de estos grupos los usuarios seran, carlos, manuel, bruno y benji.
Para crear los usuarios>desde el menu usuarios>clic derecho>usuario nuevo

Lo que haremos ahora sera hacer que cda usuario pertenesca a uno de los grupos anteriormente creados. Para ellos vamos a cada uno de los usuarios, por ejemplo, Benji>clic derecho>propiedades>miembro de>agregar>avanzadas>buscar ahora>seleccionar Killers.


 
y vamos a seleccionar grupos:


en esta parte asignamos un nombre de grupo para los usuarios.




NOTA: Este proceso se repite para cada uno de los usuarios, alternando el grupo al que pertenecen.

2. Vamos a implementar ciertas politicas o directivas locales.
Desde >directiva del equipo local> configuracion del equipo> configuracion de windows> configuracion de seguridad> directivas de de cuenta>





En este caso sera de 15 dias.




3. Dentro de esta misma ruta vamos a configurar los requisitos de coplejidad de la contraseña, en este caso van a ser los exgidos por windows server.

Estos requisitos vienen activados por defecto, son:
  • No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
  • Tener una longitud mínima de seis caracteres
  • Incluir caracteres de tres de las siguientes categorías:
  • Mayúsculas (de la A a la Z)
  • Minúsculas (de la a a la z)
  • Dígitos de base 10 (del 0 al 9)
  • Caracteres no alfanuméricos (por ejemplo !, $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.




4. Tambien configuramos la opcion de recordar contraseñas, para que los usuarios no puedan repetir su contraseña por lo menos despues de dos cambios. Desde la misma ruta pero con la opcion > Exigir historial de contraseñas.



5. Vamos a darle diferentes permisos especiales a cada grupo, por ejemplo; que los usuarios de killers puedan apagar el equipo despues de iniciar sesion.
Desde >directiva del equipo local> configuracion del equipo> configuracion de windows> configuracion de seguridad> directivas locales> Asignacion de permisos
 
 Habilitamos la opcion apagar el sistema.




Debemos seleccionar que grupos o usuarios pueden tener este tipo de permisos. En etse caso sera Killers.


En la opcion agregar usuario o grupo> Avanzadas> Buscar ahora> seleccioanmos Killers> aceptar




6. Ahora vamos a darle permisos de cambiar la zona horaria a los usuarios del grupo timers.




El procedimiento de agregar usuario o grupo es el mismo prceso anterior. Agregar usuario o grupo> avanzadas> buscar ahora> seleccionar grupo> aceptar.




7. Ahora veremos restricciones al usar el navegador de internet explorer.
Los usuarios no podran eliminar el historial de navegacion. Para ellos vamos a la siguiente ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> Internet explorer.


 Desde hay buscamos la opcion >Desactivar la funcionalidad "Eliminar el historial...".




Seleccionamos habilitada.




8. No se permitira el cambio de proxy, todos los usuarios tendran el mismo proxy.
 Desde la misma ruta del  internet explorer, buscamos la opcion> Propiedades de deshabilitar el cambio de configuracion de proxy, y la habilitamos.




 9. Ahora vamos a configurar el mismo proxy para todos los usuarios para ello vamos a pararnos sobre esta ruta >directiva del equipo local> configuracion de usuario> configuracion de windows> mantenimiento de internt explorer>conexion de proxy.


 En la opcion configuracion de los servidores. 



Habilitamos la configuracion de proxy y utilizamos el sgte: 172.20.49.51:80






10. Configuracion del historial deshabilitada.
Desde la ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> Internet explorer. 



Buscamos la opcion> Deshabilitar la configuracion del historial.> Habilitada> aceptar




11. No permitir el cambio de las directivas de seguridad del navegador.
Desde la misma ruta anterior buscamos la opcion>  Zonas de seguridad: no permitir que los usuarios cambien las directivas>Habilitada> acepta




12. Desactivar la ventana emergente de reproduccion automatica. En al ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> directivas de reproduccion automatica. 
 


Habilitamos la opcion > Desactivar reproduccion automatica.






seleccionamos habilitada.



13. Saliendonos un poco de las restricciones e internet explorer, vamos a bloquear el apagado remoto de la maquina. Vamos a hacerlo desde la ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> componentes de windows> Opciones de apagado.




En las propiedades de desactivar interfaz de apagado remoto heredado seleccionamos >Habilitada> Acpetar




  14. Ahora vamos a aplicar una cuota de disco a todos los suarios de 50MB. En la ruta >directiva del equipo local> configuracion del equipo> plantillas administrativas> Sistema> Cuotas de disco.




 En la opcion> propiedades de habilitar cuotas de disco> Aceptar




 En la opcion Aplicar un limite de couta de disco> hibilitada> aceptar.


En la opcion> Limite de cuota y nivel de aviso predeterminados> habilitada> valor> aceptar.


15. Ahora vamos a configurar la pagina principal que se cargara para cada usuario al abrir el internet explorer. En este caso utilizaremos www.netwares.com




   Seleccionamos la opción > Direcciones URL importantes

Seleccionamos personalizar URL de la pagina principal.


16. En ocaciones necesitamos bloquear determinados sitios web, en estecaso es necesario bloquear www.facebook.com y www.youtube.com. Para ello ingresaremos a> zonas de seguridad y clasificacion de contenido> configuración de privacidad y seguridad> Asesor de contenido, y en la pestaña sitios aprobados, ingresamos la direccion web de los sitios seguidos de la opción nunca.





En este espacio es donde se va a ingresar la pagina que se va a restringir. 

Luego en la pestaña General seleccionamos las dos opciones iniciales y cambiamos la contraseña del supervisor para acceder a estos sitios web.


Proporcionamos una contraseña segura!!



17. Ocultar una unidad, en este caso la unidad C.

Desde > directiva equipo local> configuracion de usuario> plantillas administrativas> componentes de windows> explorador de windows.


Seleccionamos la opción ocultar estas unidades especificas en mi PC.


Vamos a seleccionar, habilitada. En caso de querer que se restrinja alguna unidad, seleccinamos dicha unidad desde el menu desplegable al final de la ventana.



18. Ocultar el menu opciones de la carpeta menu herramientas.
Desde la misma ruta seleccionamos la opcion quitar el menu opciones de la carpeta menu herramientas.> habilitada> aceptar.


19. Limitar el tamaño de la papelera de reciclajea 100MB.
Desde la misma ruta seleccionamos la opcion tamaño maximo permitido de la papelera de reciclaje.> habilitada> aceptar.


20. Prohibir la ejecucion del messenger.
Desde  > directiva equipo local> configuracion de usuario> plantillas administrativas> componentes de windows> windows messenger.


Opción > no permitir que se ejecute windows messenger> habilitada>  aceptar.


seleccionamos habilitada.




21. Ocultar los elementos del escritorio para todos los usuarios. En la ruta > directiva equipo local> configuración de usuario> plantillas administrativas> Escritorio.


Encontramos la opcion >ocultar y deshabilitar todos los elementos del escritorio. seleccionamos> habilitada> aceptar.


22. Bloquear la barra de tareas. > directiva equipo local> configuración de usuario> plantillas administrativas> componentes de windows> Menu inicio y barra de tareas.


Opcion> bloquear la barra de tareas> habilitada> aceptar.


23. Prohibir el acceso de lecto-escritura a cualquier medio de almacenamiento extraible.
Desde > directiva equipo local> configuracion de usuario> plantillas administrativas> sistema> Acceso de lamacenamiento extraible.


Encontramos dos opciones, >discos extraible: denegar acceso de lectura y > discos extraibles: denegar acceso de escritura. Dememos habilitar las dos opciones.



Bueno esto es todo por hoy, espero les sirva esta información y en caso de alguna duda, pueden dejarme un comentario y con gusto les responderé..